Cabecera-v2-web.jpg

Múltiples vulnerabilidades en Moodle


Moodle ha publicado cuatro alertas de seguridad en las que se corrigen otras tantas vulnerabilidades que podrí­an permitir el acceso no autorizado a archivos o a información sensible.

Moodle es una popular plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.

Se han publicado cuatro boletines de seguridad (del MSA-16-0023 al MSA-14-0026), y tienen asignados los identificadores CVE-2016-8642 al CVE-2016-8644. Tres de ellos considerados como de gravedad menor y uno de riego serio.

El más grave de los problemas afecta cuando la depuración está activa, los errores de excepción de los servicios web podrán contener datos privados. Otros fallos residen en un error en la función de chequeo que puede permitir a los usuarios ver las notas del curso a las que no tiene acceso a visualizar. En la interfaz web de Moodle los usuarios no administradores con capacidad de editar a otros usuarios no pueden editar la información de los administradores, sin embargo esto no se respeta en uno de los servicios web. Por último, un usuario puede acceder a la URL de un archivo incluido en una pregunta para la que no tiene acceso y descargarlo usando el identificador de una pregunta para la que sí­ tenga acceso.

Se ven afectadas las versiones 3.1 a 3.1.2, 3.0 a 3.0.6, 2.9 a 2.9.8, 2.8 a 2.8.12, 2.7 a 2.7.16, y versiones anteriores ya fuera de soporte.

Las versiones 3.1.3, 3.0.7, 2.9.9 y 2.7.17 solucionan todas las vulnerabilidades. Se encuentran disponibles para su descarga desde la página oficial de Moodle. http://download.moodle.org/


Fuente: hispasec.com


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11